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(57) Abstract: The invention concerns a method for making secure the access of 
an external application to at least a microprocessor user card, said user card being 
capable of containing several internal applications, said external application corre- 
sponding to one of the internal applications, said user card co-operating with a ter- 
minal, said external application using a connection protocol to the user card wherein, 
with each external application is associated a predetermined identification param- 
eter. Said method comprises the following steps: when a first external application 
is connected to the corresponding internal application on said user card, determin- 
ing the application identification parameter, if a second external application requires 
connection to said user card, analysing the parameter identification of said second 
application; if said parameter is identical to that of the first connected application, 
prohibiting access for the second external application to said corresponding internal 
application on the user card. 

(57) Abrege : ProcSde" pour securiser Faeces d'une application exteme a au moins 
une carte utilisateur a microprocesseur, ladite carte utilisateur 6tant susceptible de 
contenir plusieurs applications internes, ladite application exteme correspondant a 
une des applications internes, ladite carte utilisateur cooperant avec un terminal, la- 
dite application externe utilisant un protocole de connexion a ladite carte utilisateur 
dans lequel, a chaque type d' application externe est associe* un parametre d' identi- 
fication pr£de'termine\ comportant les 6tapes suivantes: lorsqu'une premiere appli- 
cation externe est en connexion avec 1' application interne correspondante sur ladite 
carte utilisateur, on determine le parametre d'identification de Tapplication, si une 
deuxieme application externe requiert la connexion a ladite carte utilisateur, on ana- 
lyse le parametre d' identification de ladite deuxieme application, si ledit parametre 
est identique & celui de la premiere application connectee, on interdit Tacc£s pour 
ladite deuxieme application externe a ladite application interne correspondante sur 
la carte utilisateur 
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En ce qui concerne les codes a deux lettres et autres abrevia- 
tions, se referer aux "Notes explicatives relatives aux codes el 
abreviations" figurant au dibut de chaque numero ordinaire de 
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PROCEDE DE SECURISATION DE L' ACCESS A UNE APPLICATION RESEDANTE SUR UNE CARTE 
UTILISATEUR COOPERANT AVEC UNE TERMINAL D'UN SYSTEME DE COMMUNICATION, ET 
TERMINAL CORRESPONDANT 



5 La pr6sente invention concerne un procede de securisation de I'acces 

a au moins une application supportee par une carte utilisateur a 
microprocesseur. Cette carte utilisateur coopere avec un des terminaux de 
communication d'un systeme de communication. L'invention concerne 
egalement un terminal de communication mettant en oeuvre ce procede. 

10 Un des domaines d'application, non exclusif, de l'invention est celui 

des terminaux mobiles de radiocommunication fonctionnant dans.un systeme 
de radiocommunication cellulaire. L'invention s'applique notamment, mais 
non exclusivement, a un systeme selon le standard GSM (Groupe special 
Systemes Mobiles publics de radiocommunication). 

15 Les terminaux d'un systeme de radipcommunication peuvent cooperer 

avec au moins une carte a puce intelligente, appelee en anglais "smart card". 
Chaque carte a puce contient au moins une application interne. Chaque 
application interne est susceptible de coop6rer avec une application externe a 
la carte a puce. Par exemple, ^application externe peut etre une application 

20 bancaire cooperant avec une carte utilisateur de type carte de paiement 
supportant I'application bancaire correspondante. 

De plus, lorsqu'une application externe desire acceder a I'application 
interne correspondante supports par la carte a puce, cette application 
externe commence le protocole de connexion. Elle echange des donnees dites 

25 APDU (Applicative Protocol Data Unit en anglais: Unife d'echange de 
donnees de niveau applicatif) via I'interface logicielle du terminal ou API ( 
Application Programming interface en anglais : Interface de programmation 
de et vers I'application). Dans TAPDU, Tapplication externe indique son type 
(bancaire, ou autres) ou classe. Cette classe est indiqu6e dans Pun des octets 

30 de IAPDU, appele octet "CLA". 

Le concept de plusieurs applications reunies sur une meme carte est 
ires avantageux pour I'abonne. En effet, celui-ci peut effectuer de faqon 
simple et uniquement avec son terminal de nombreuses operations telles que 
le paiement d'une commande effectuee egalement depuis son terminal. 
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Ainsi, plusieurs applications externes differentes peuvent avoir acces 
simultan6ment aux applications internes correspondantes sur la meme carte a 
puce. Mais deux applications externes identiques ne doivent pas avoir acces 
simultanement a I'application interne correspondante sur la "smart card". 

5 Cette restriction d'acces doit etre possible pour pallier les risques 

d'utilisatioh frauduleuse des applications de la carte a puce. Dans le cas 
d'une transaction entre une application externe bancaire et I'application 
bancaire de la carte a puce d'un abonn6, une transaction entre une 
application pirate de type bancaire demandant I'acces a la "smart card" de 
10 I'abonne doit etre 6vit6e. 

D'autre part, au sein d'une carte a puce contenant plusieurs 
applications internes differentes, I'6tanch6it6 entre les differentes applications 
internes est difficilement garantie. Ainsi, prenons le cas d'une premiere 
application externe X est d6jd en communication dvec I 1 application interne X 

15 correspondante situee sur la carte a puce. Si une application externe pirate X 7 
veut communiquer avec I'application interne X, alors ('application X' pourrait se 
connecter sur une application interne Y situee dans la carte a puce 6 proximite 
de ('application interne X. Puis cette application X 1 pourrait profiter d'un 
eventuel manque d'etancheite entre les applications internes pour atteindre 

20 I'application interne X. 

Dans I'etat de la technique, on connait le module du tout ou rien. Ce 
modele fonctionne par exemple sur les equipements tel que les terminaux de 
communication permettant I'acces a internet ou "internet communication 
terminal" en anglais. Sur ce genre de terminaux, des applications peuvent etre 
25 telechargees de Texterieur. 

Si le protocole de connexion utilise par I'application externe est connu 
, par le terminal alors I'application externe est dite "application autorisee" et 
peut acc6der a I'application interne correspondante de la carte a puce. 
Cependant, si une autre application externe autorisee, et ayant la meme 
30 classe que la premiere, demande I'acces a la meme application interne de la 
carte a puce, la deuxieme application peut egalement acceder a la m§me 
application interne sur la carte a puce et une interference entre les deux 
applications externes a lieu. 
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La solution anterieure n'est done pas suffisante pour pallier le risque 
6voqu6 ci-dessus. 

L'invention resout ce probleme en permettant a une application 
externe de r6server I'acces a ('application interne correspondante de la carte 
5 utilisateur pour elle seule. 

De m.aniere plus precise, l'invention a pour objet un proced£ pour 
securiser faeces d'une application externe 6 au moins une carte utilisateur a 
microprocesseur. 

10 Ladite carte utilisateur est susceptible de contenir plusieurs 

applications internes, ladite application externe corresppndant a une des 
applications internes. 

Ladite carte utilisateur coop^re avec un terminal. 
Ladite application externe utilise un protocole de connexion d ladite 
15 carte utilisateur dans lequel, a chaque type d'application externe est associe 
un paramdtre d'identification predetermine. Ce proc6de comporte les etapes 
suivantes : 

- lorsqu'une premiere application externe est en connexion avec 
('application interne correspondante sur ladite carte utilisateur, on 

20 determine le parametre d'identification de l ! application, 

- si une deuxieme application externe requiert la connexion a ladite 
carte utilisateur, on analyse le parametre d'identification de ladite 
deuxieme application, 

- si ledit parametre d'identification est identique a celui de la 
25 premiere application connectee, on interdit i'acces pour ladite 

deuxieme application externe d ladite application interne 
correspondante sur la carte utilisateur. 

En particulier, le precede comporte un protocole de connexion entre 
30 ('application externe et ('application interne correspondante sur la carte 
utilisateur. Ce protocole r6sulte d'un echange d'APDU, contenant plusieurs 
octets, entre ('application externe et I'application interne situee sur la carte 
utilisateur via I'interface logicielle du terminal, ledit parametre d'identification 
etant represents par au moins I'un des octets de I'APDU. 

35 
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Le procede comporte un protocole de connexion pendant lequel a lieu 
un echange d'APDU tel qu'au moins I'un des octets de I'APDU est I'octet CLA 
d6finissant la classe de ['application externe, chaque type d'application 
externe identique, susceptible de pouvoir echanger des APDU ayant un octet 
5 CLA identique, ledit parametre d'identification etant I'octet CLA. 

Le procSde est tel que I'application externe d'une classe definie ayant 
effectue une reservatipn totale de I'acces a au moins une carte utilisateur, 
I'analyse dudit parametre d'identification par ^interface logicielle sera 
10 effectuee sur toutes les classes possibles qui d6finissent une application 
externe. 

D'autres caracteristiques et avantages de invention apparaftront a la 
lecture de la description syivante se rapportant a un mode de realisation 
15 donne d titre d'exemple mais en aucun cas limitatif. Ce mode de realisation 
fait reference aux dessins annexes. 

La figure 1 est un schema synoptique d'une donnee de type APDU. 
La figure 2 est un schema synoptique simplifie du dispositif selon 
I'invention mettant en ceuvre le proc6d6 de s^curisation d'acces selon 
20 I'invention. 

La figure 3 est un organigramme du procede de securisation de I'acces 
selon I'invention. 

En reference a la figure T, lorsqu'une application externe desire acceder 
25 a I'application interne cbrrespondante supports par la carte a puce situee 
dans un terminal d'un systeme de radiocommunication, cette application 
commence le protocole de connexion et 6change des donnees dites APDU 1 
avec le terminal. Cet APDU contient plusieurs octets. L'un de ces octets est 
I'octet CLA 2. Cet octet indique la classe de I'application externe. Deux 
30 applications externes de meme type ont la meme classe, par exemple deux 
applications de type bancaire. 

En reference a la figure 2, chaque terminal d'uh systeme de 
radiocommunication coopere avec au moins une carte a puce 40. Chaque 
35 carte a puce 40 peut contenir plusieurs applications internes correspondent 
15, 25, 35 a des applications externes 10, 20, 30. 
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Chaque application externe Ae(i) d'un type donne posskJe une classe 
donnee telle que CLA[Ae(i)]=i. 

Deux applications externes Ae(l) et Ae(2) 10 et 20 de type different, 
done de classe d.ifferente, auront un octet CLA de valeur differente 
5 CLA[Ae(l)]=l et CLA[Ae(2)]=2. 

Cette application externe peut §tre locale, telle ['application GSM d'un 
terminal GSM; ou peut etre distante. telle une application bancaire 
communiquant avec.l'application bancaire de la "smart card". 

10 Dans ce qui suit, on entend par "blocage total", ce blocage total de 

. Pacces a I'API done a la carte a puce ayant 6t6 requis par une application 
externe, Pinterdiction de I'acces a la carte d puce pour n'importe quelle autre 
application externe quelque soit sa classe. 

On entend egalement par "blocage partiel", ce blocage partiel de Pacers 

15 a I'API done a la carte a puce ayant 6t6 requis par une premiere application 
externe, Pinterdiction de Pacc&s a la carte a puce pour une deuxieme 
application externe de meme classe que la premiere. 

Sur la figure 3, dans I'etape 50, une application externe Ae(l) demande 
I'acces a ('application interne Ai(l) contenue dans une carte a puce d'un 

20 terminal d'un systeme de radiocommunication. Cette application externe 
envoie des donnees de type APDU pendant le protocole de connexion via 
['interface logicielle du terminal (API). A cette application externe est associe 
un parametre d'identification predetermine : I'octet CIA contenu dans I'APDU 
et tel que GLA[Ae(l)]=i 1 . On analyse la valeur de Poctet CLA. 

25 Ensoite, dans |'6tape 60, I'API verifie si I'acces a la "smart card" est 

bloque par une autre application externe Ae(i) qui aurait demande le blocage 
de Pacces a la carte a puce pour une autre application quelle que soit sa 
classe (ce qui.constitue le blocage total) : 

Si e'est le cas, alors on passe a I'etape 70 et la demande est rejetee. 

30 Si ce n'est pas le cas, alors on passe d l'6tape 80. 

Dans I'etape 80, I'API verifie si I'acces a la carte a puce est. bloque par 
une autre application externe Ae(i) ayant demands un blocage partiel pour 
toute application de meme classe, e'est-a-dire dont I'octet CLA a pour valeur 
CLA[Ae(i)] = i : 

35 Si e'est le cas, alors on passe 6 I'etape 90 ou I'API analyse si i=l : 



WO 02/10918 



6 



PCT/FR01/02489 



Si i=l (les deux applications sont de meme classe) alors la 
demande de connexion de Ael est rejetSe. 
Si iol (les deux applications sont de classes differentes) 
alors on passe a I'etape 110. 
5 Si ce n'est pas le cas, alors on passe d l'6tape 100. 

Dans I'etape 100, I'application externe doit demander a I'API si elle 
desire un blocage total avant de passer a I'etape 1 30 : 

Si ce n'est pas le cas, alors I'acces a la carte a puce sera bloque pour 
toute application externe de meme classe que I'application Ae(l) done 
10 gyant un octet CLA egal a 1 dans I'etape 110 (reservation partielle de 

I'API). " 
Si e'est le cas, alors I'acces a la carte a puce sera bloqu6 pour toute 
application externe quelle que soit sa classe dans I'etape 120 
(reservation totale de TAPI). 
15 Dans I'etape 130, I'application Ae(l) accede d I'application interne 

correspondante Ai(l) de la carte d puce. 
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REVINDICATIONS 

1. Procede pour securiser I'accds d'une application externe a au moins une 
carte utilisateur a microprocesseur, ladite carte utilisateur etant 
susceptible de contenir plusieurs applications internes, ladite application 
5 externe correspondent a une des applications internes, ladite carte 

utilisateur cooperant avec un terminal, ladite application externe utilisant 
un protocole de connexion a ladite carte utilisateur dans lequel, a 
chaque type d'application externe est associe un param&tre 
d'identification predetermine, caract6ris6 en ce que : 
10 - lorsqu'une premiere application externe est en connexion avec 

Papplication interne correspondante sur ladite carte utilisateur, on 
determine le parametre d'identification de Papplication, 

- si une deuxieme application externe requiert la connexion a ladite 
carte utilisateur, on analyse le parametre d'identification de ladite 

15 deuxieme application, 

- si ledit parametre est identique a celui de la premiere application 
connect6e, on interdit Pacces pour ladite deuxieme application 
externe a ladite application interne correspondante sur la carte 
utilisateur. 

20 2. Proced6 selon la revendication prec6dente, dans lequel : 

le protocole de connexion entre I'application externe et I'application 
interne correspondante sur la carte utilisateur resulte d'un echange 
d'APDU, contenant plusieurs octets, entre I'application externe et 
I'application interne situee sur la carte utilisateur via ('interface logicielle 

25 du terminal, ledit parametre d'identification etant represents par au 

moins I'un des octets de I'APDU. 

3. Procede selon la revendication 2, dans lequel : 

au moins I'un des octets de I'APDU est I'octet CLA definissant la classe 
de I'application externe, chaque type d'application externe identique, 
30 susceptible de pouvoir echanger des APDU ayant un octet CLA identique, 

ledit parametre d'identification etant I'octet CIA. 

4. Procede selon I'une quelconque des revendications 2 et 3, caracterise 
en ce que I'application externe d'une classe definie ayant effectue une 
reservation totale de I'acces a au moins une carte utilisateur, I'analyse 

35 dudit parametre d'identification par I'interface logicielle sera effectuee 

sur toutes les classes possibles qui definissent une application externe. 
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5. Procecfe selon I'une quelconque des revendications pnlcedentes, 
fonctionnant dans un systeme de communication permettant une 

. radiocommunication cellulaire, dans lequel lesdits terminaux de 
communication sont des terminaux de radiocommunication et lesdites 
5 cartes utilisateur sont des cartes a puce. 

6. Terminal de radiocommunication coop6rant avec au moins une carte 
utilisateur a microprocesseur pour, la mise en oeuvre du proc6d6 selon 
I'une quelconque des revendications pr6cedentes, caract6ris6 en ce qu'ii 
comporfe des moyens d'ex^cution de commandes distincts, des moyens 

10 de memorisation de donnees distincts pour chaque application de classe 

distincte et des . moyens d'analyse d'au moins un parametre 
d'identification contenu dans les donn6es Schangees pendant le 
protocole de connexion. 
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